Passer au contenu

Boîtiers dédiés : le RPV et le coupe-feu simplifiés

Préalablement configurés par leurs fabricants, les serveurs dédiés accélèrent les temps de mise en oeuvre d’un coupe-feu et d’un RPV.

Si les logiciels de coupe-feu et de RPV sont depuis longtemps des composantes classiques d’un réseau d’entreprise, leur ” mise en boîte ” dans des serveurs dédiés est plus récente. À l’origine, ce concept ciblait les grands comptes soucieux d’économiser du temps et de l’argent lors du déploiement en masse de ces applications de sécurité. Livrés avec une configuration logicielle et matérielle en parfaite adéquation, ces boîtiers éliminent en effet tout problème de composition d’une plate-forme serveur, du choix d’un système d’exploitation et d’installation des logiciels. C’est pour ces raisons que ces solutions clés en main séduisent aujourd’hui des entreprises de toute taille.

Un noyau Linux

“Nous sécurisons nos trois agences à l’aide de boîtiers Nokia abritant les logiciels FW-1 et VPN-1 de Check Point Software. En revanche, à notre siège, ces logiciels sont installés sur une plate-forme Unix redondante façonnée par nos soins. Celle-ci nous a demandé beaucoup de travail car il a fallu notamment choisir les composants matériels adéquats, installer Sun Solaris 8 et configurer les cartes réseau”, explique Hervé Laudrain, directeur informatique de Travelprice/Lastminute France. Autre avantage des boîtiers, parfois ignoré des entreprises utilisatrices : leur système d’exploitation embarqué. Ce dernier, le plus souvent un noyau Linux, est déchargé de certains services comme le partage de fichiers. Un travail qui allège le système d’exploitation, mais surtout accroît sa sécurité en supprimant des fonctions qui le rendent vulnérable.Le concept de boîtier coupe-feu/RPV dédié est également synonyme de simplicité en termes de maintenance. Celle-ci repose sur un contrat global avec un seul fournisseur et non sur deux comme pour une plate-forme bâtie par l’entreprise. Ce contrat global associé à la préconfiguration logicielle et matérielle des boîtiers simplifie le remplacement éventuel d’une machine défectueuse. À ce titre, l’exemple d’Alterburo, distributeur d’articles de bureau, qui équipe ses six filiales commerciales de boîtiers SonicWall est révélateur : “Notre prestataire Océane travaille en étroite collaboration avec SonicWall. Lorsque l’une de nos machines est tombée en panne, il lui a suffi de dupliquer nos paramètres de filtrage sur un nouveau boîtier qui a été mis à notre disposition en une heure”, raconte François Morin, directeur informatique de la société.Concernant le prix de leur solution, toutes les entreprises interrogées l’estiment plus avantageux que celui d’une plate-forme équivalente bâtie par leurs soins. “En fonction des modèles, les quatre boîtiers que nous avons installés sur nos sites français et africains nous ont coûté entre 4 000 et 5 000 e ht chacun”, explique un directeur informatique d’un groupe spécialisé dans le négoce du bois. Pourtant, de l’avis des fabricants de boîtiers et des intégrateurs, le prix de ces solutions est, dans l’absolu, plus élevé. Un surcoût qui se justifie par le travail d’ingénierie préalable des fabricants et les contrats de maintenance. Ces éléments font gagner du temps et de la disponibilité aux entreprises, compensant ainsi les différences de coût entre les deux types de solutions.

Une administration à distance

S’il est difficile d’apporter une réponse claire à la question du coût, d’autres inconvénients sont, en revanche, bien identifiés. Ces boîtiers sont le plus souvent conçus pour être limités aux fonctions prévues par leurs fabricants. “Les statistiques reflétant le trafic transitant par nos boîtiers sont établies par un serveur Syslog annexe. Faute de présence d’un disque dur assurant le stockage de ces données, nos coupe-feu/RPV n’assurent pas ces fonctions”, explique François Morin.Différents sur de nombreux aspects, les boîtiers dédiés et les plates-formes bâties de toutes pièces sont néanmoins identiques lors des phases d’exploitation. “Après avoir branché notre boîtier Netasq F100, nous avons commencé à le configurer en identifiant trois zones différentes, à savoir le LAN, une DMZ et Internet. Ensuite, les règles de filtrage des flux appliquées à ces trois réseaux ont été établies en fonction des protocoles et des adresses IP source et destination”, explique Marc Petitfrère, responsable réseau de la société Chicorée Leroux. “Nous avons choisi d’autoriser HTTP pour le web ainsi que SMTP et POP3 pour le mail. Les autres ports du coupe-feu ont été fermés. Nous n’avons associé les critères des adresses IP source et destination à celui des protocoles que pour certaines machines de notre LAN”, poursuit Marc Petitfrère. ” Nous avons paramétré notre coupe-feu de telle façon que les ports laissés ouverts ne permettent qu’un accès à notre DMZ depuis l’extérieur “, commente, à son tour, le directeur informatique du groupe spécialisé dans le négoce du bois.Utilisées pour sécuriser les échanges entre les différents sites des entreprises interrogées, les fonctions de RPV des boîtiers sont aussi un moyen de les administrer à distance. L’opération est le plus souvent réalisée par l’intermédiaire d’une interface web. Une tâche qui ne semble pas monopoliser de ressources dédiées outre mesure “puisqu’ une personne se consacre à l’administration de nos boîtiers deux à trois jours par mois”, indique Hervé Laudrain. L’une des tâches récurrentes de ces administrateurs consiste à contrôler les log des coupe-feu. “Nous constatons des scans de ports mais peu d’attaques”, précise Hervé Laudrain. Un constat qui confirme l’utilité d’un coupe-feu et d’un RPV, quelle que soit la forme qu’ils revêtent.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Fabrice Alessi